En el caso enjuiciado por el TEDH, Sentencia Barbulescu contra Rumanía al igual que en el de la STCo 170/2013 existe una normativa que con carácter general prohíbe utilizar los ordenadores de la empresa para usos personales -en el caso europeo el reglamento interno de la empresa en vez del convenio colectivo-. Pero, de la lectura de la sentencia del TEDH se deduce –y esto es lo relevante- que no es suficiente con una prohibición del uso particular de los sistemas informáticos de la empresa para convertir en legítima su vigilancia. Tampoco parece suficiente para legitimar el control empresarial que una normativa general -ya sea un convenio colectivo, un reglamento interno de la empresa, u otra similar- establezca una advertencia genérica sobre la posibilidad de la supervisión empresarial de las comunicaciones de los trabajadores que utilicen los sistemas informáticos de la empresa para verificar si se destinan a fines prohibidos, sino que se exige una información más específica y concreta, que permita conocer a los afectados el «alcance y naturaleza del control» que se va a realizar.
Además, esa información debe ser previa al comienzo de la actividad de supervisión para que el control sea lícito. En el caso enjuiciado, como la propia sentencia recoge, la empresa difundió entre los trabajadores (incluido el recurrente) una nota informativa que contenía una referencia genérica a la posibilidad de que la empresa verificase y vigilase el trabajo de sus empleados, adoptase las medidas oportunas contra los trabajadores que incurriesen en una falta a la normativa y castigase dichas faltas. Sin embargo, esa nota informativa fue conocida y firmada por el trabajador en el período comprendido entre el 3 y el 13 de julio de 2007 (ya que no quedó acreditada la fecha exacta), en la misma franja temporal en que se registraron en tiempo real sus conversaciones (entre el 5 y el 13 de julio de 2007). Por tanto, la advertencia o información del control ya no podía ser calificada como previa a éste y, además, se trataba de un información genérica.
Esta necesidad de informar previamente al trabajador se integra dentro del principio de transparencia que, junto a otros, delimitan las líneas fundamentales que el empresario debe tener en cuenta en el tratamiento de los datos personales para garantizar los derechos de sus empleados.
Conforme a este principio el trabajador debe conocer los datos de carácter personal que son recopilados por el empresario, las categorías de datos que serán tratados y una descripción de las finalidades del tratamiento. Especial relevancia adquiere la información sobre las categorías de datos personales que pueden recogerse por medio de las tecnologías de la información y comunicación (TIC) en las actividades de vigilancia y su utilización potencial. En todo caso, la información deberá suministrarse al empleado antes de que realice la actividad o acción prevista en la que se obtengan los datos personales.
Precisamente la sentencia Barbulescu del TEDH reprocha a los tribunales rumanos que no apreciaron la falta de información previa al trabajador, puesto que la información y el acceso empresarial a sus comunicaciones tuvieron lugar cuando ya había comenzado el procedimiento disciplinario contra él.
La sentencia también se refiere a otros requisitos para legitimar la vigilancia. En concreto menciona la necesidad de ponderar las razones que legitiman las concretas medidas de control adoptadas por la empresa que, en este caso, tenían un carácter muy invasivo de los derechos fundamentales del trabajador, puesto que se registraron en tiempo real sus comunicaciones y se transcribieron. Esta intervención comprendió tanto los mensajes de la cuenta de Yahoo Messanger abierta a instancia de la empresa por el trabajador, que contenía conversaciones privadas con su hermano, como de la cuenta de mensajería privada que tenía en el mismo operador, de la que se extrajeron cinco mensajes dirigidos a su novia.